Kako instalirati Vatrozid poslužitelja konfiguracije (CSF) na Debian/Ubuntu

ConfigServer i Sigurnosni vatrozid, skraćeno CSF, je napredni vatrozid otvorenog koda dizajniran za Linux sustave. Ne samo da pruža osnovnu funkcionalnost vatrozida, već nudi i široku lepezu dodatnih značajki kao što su prijava/otkrivanje upada, provjere iskorištavanja, ping zaštita od smrti i još mnogo toga.

Dodatno, također pruža integraciju korisničkog sučelja za široko korištene upravljačke ploče kao što su cPanel, Webmin, Vesta CP, CyberPanel i DirectAdmin. Potpuni popis podržanih značajki i operativnih sustava možete pronaći na službenoj web stranici ConfigServera.

U ovom vodiču provest ćemo vas kroz instalaciju i konfiguraciju ConfigServer Security & Firewall (CSF) na Debian i Ubuntu .

Korak 1: Instalirajte CSF vatrozid na Debian i Ubuntu

Kao prvo, trebate instalirati neke ovisnosti prije nego što započnete s instaliranjem CSF vatrozida. Na svom terminalu ažurirajte indeks paketa:

sudo apt update

Zatim instalirajte ovisnosti kao što je prikazano:

sudo apt install wget libio-socket-ssl-perl git perl iptables libnet-libidn-perl libcrypt-ssleay-perl  libio-socket-inet6-perl libsocket6-perl sendmail dnsutils unzip

Kad ste to riješili, sada možete prijeći na sljedeći korak.

Budući da CSF nije uključen u zadana spremišta Debian i Ubuntu, morate ga ručno instalirati. Za nastavak preuzmite CSF tarball datoteku koja sadrži sve instalacijske datoteke koristeći sljedeću naredbu wget.

wget http://download.configserver.com/csf.tgz

Time se preuzima komprimirana datoteka pod nazivom csf.tgz.

Zatim izdvojite komprimiranu datoteku.

tar -xvzf csf.tgz

Ovo stvara mapu pod nazivom csf.

ls -l

Zatim idite u mapu csf.

cd csf

Zatim instalirajte CSF vatrozid pokretanjem prikazane instalacijske skripte.

sudo bash install.sh

Ako je sve prošlo u redu, trebali biste dobiti izlaz kao što je prikazano.

U ovom trenutku CSF je instaliran. Međutim, morate provjeriti jesu li potrebne iptables učitane. Da biste to postigli, pokrenite naredbu:

sudo perl /usr/local/csf/bin/csftest.pl

Korak 2: Konfigurirajte CSF vatrozid na Debianu i Ubuntuu

Potrebna je dodatna konfiguracija Sljedeće, moramo izmijeniti nekoliko postavki kako bismo omogućili CSF. Dakle, prijeđite na konfiguracijsku datoteku csf.conf.

sudo nano /etc/csf/csf.conf

Uredite direktivu TESTIRANJE iz “1” u “0” kako je dolje navedeno.

TESTING = "0"

Zatim postavite direktivu RESTRICT_SYSLOG na “3” da ograničite pristup rsyslog/syslog samo članovima RESTRICT_SYSLOG_GROUP.

RESTRICT_SYSLOG = "3"

Zatim možete otvoriti TCP i UDP priključke lociranjem TCP_IN, TCP_OUT, UDP_IN,< i UDP_OUT direktive.

Prema zadanim postavkama otvoreni su sljedeći priključci.

TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"

TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"

UDP_IN = "20,21,53,80,443"

UDP_OUT = "20,21,53,113,123"

Velike su šanse da ne trebate otvoriti sve te priključke, a najbolje prakse poslužitelja zahtijevaju da otvorite samo priključke koje koristite. Preporučujemo da uklonite sve nepotrebne priključke i ostavite one koje koriste servisi koji se izvode na vašem sustavu.

Nakon što ste gotovi s određivanjem portova koji su vam potrebni, ponovno učitajte CSF kao što je prikazano.

sudo csf -r

Za popis svih pravila IP tablice definiranih na poslužitelju, pokrenite naredbu:

sudo csf -l

Možete pokrenuti i omogućiti CSF vatrozid pri pokretanju na sljedeći način:

sudo systemctl start csf
sudo systemctl enable csf

Zatim potvrdite da vatrozid doista radi:

sudo systemctl status csf

Korak 3: Blokiranje i dopuštanje IP adresa u CSF vatrozidu

Jedna od ključnih funkcija vatrozida je mogućnost dopuštanja ili blokiranja pristupa IP adresama poslužitelju. Pomoću CSF možete IP adrese staviti na bijelu (dopusti), na crnu (odbiti) ili zanemariti IP adrese izmjenom sljedećih konfiguracijskih datoteka:

  • csf.dopusti
  • csf.odbiti
  • csf.ignore

Blokirajte IP adresu u CSF-u

Za blokiranje IP adrese jednostavno pristupite konfiguracijskoj datoteci csf.deny.

sudo nano /etc/csf/csf.deny

Zatim odredite IP adrese koje želite blokirati. Možete navesti IP adrese redak po redak kao što je prikazano:

192.168.100.50
192.168.100.120

Ili možete upotrijebiti notaciju CIDR za blokiranje cijele podmreže.

192.168.100.0/24

Dopusti IP adresu u CSF-u

Kako biste dopustili IP adresu kroz Iptables i isključili je iz svih filtara ili blokova, uredite konfiguracijsku datoteku csf.allow.

sudo nano /etc/csf/csf.allow

Možete navesti IP adresu po retku ili koristiti CIDR adresiranje kao što je prethodno pokazano kod blokiranja IP-ova.

NAPOMENA: IP adresa će biti dopuštena čak i kada je eksplicitno definirana u csf.deny konfiguracijskoj datoteci. Kako biste bili sigurni da je IP adresa blokirana ili na crnoj listi, provjerite da nije navedena u datoteci csf.allow.

Isključite IP adresu iz CSF-a

Osim toga, CSF vam pruža mogućnost isključivanja IP adrese iz IP tablica ili filtara. Svaka IP adresa u datoteci csf.ignore bit će izuzeta iz filtara iptables. Može se blokirati samo ako je navedeno u datoteci csf.deny.

Za izuzimanje IP adrese iz filtara pristupite datoteci csf.ignore.

sudo nano /etc/csf/csf.ignore

Još jednom, možete navesti IP-ove red po red ili koristiti CIDR notaciju.

Zaključak

I time završava naš današnji vodič. Nadamo se da sada možete instalirati i konfigurirati CSF vatrozid bez problema.